Cloud computing, in attesa dell'Europa

di Avv. V. Frediani - La Commissione Europea si starebbe preparando a presentare un piano che regolamenti il cloud computing. Dalla sicurezza alla privacy, dalla frammentazione normativa agli standard. Cosa si muove all'orizzonte?

Roma - Privacy, conservazione dei dati, diritto applicabile, responsabilità e protezione dei consumatori: queste le tematiche principali che la Commissione Europea intende affrontare con la massima priorità in materia di sviluppo tecnologico, con particolare riferimento al cloud computing. In attesa che sia reso noto nei prossimi giorni, sappiamo che il piano europeo si pone come obiettivo quello di sostenere e promuovere l'utilizzo della "nuvola" nelle imprese e nelle pubbliche amministrazioni, attraverso l'impiego della memorizzazione o archiviazione esterna dei dati nel tentativo di limitare i costi delle tecnologie dell'informazione e creare nuove opportunità di lavoro. Affrontare e adeguare ai nuovi standard i diversi aspetti normativi attuali costituisce il primo passo da compiere per attuare tale strategia e realizzare concretamente sistemi basati su accessibilità, efficienza e sicurezza dei processi informatici, esigenze che non possono più essere ignorate. Conto alla rovescia anche per l'entrata in scena del framework per i servizi mobili, pensato per salvaguardare la sicurezza degli accessi alle applicazioni mobili e alle API sul cloud.

Interoperabilità, standardizzazione, portabilità dei dati e i problemi connessi al furto d'identità sono altre questioni che richiederanno il massimo impegno da parte delle autorità competenti, nell'ottica di un rafforzamento del potenziale del cloud computing considerato, a buon diritto, il futuro delle amministrazioni e delle imprese, sia sul piano pubblico che privato. Il documento infatti pone l'accento sui doveri degli Stati membri, i quali "dovrebbero ricorrere alle tecnologie cloud nel settore pubblico sulla base di approcci comuni che permetteranno di aumentare le performance e ridurre i costi di gestione". Proprio nell'ottica di rendere più agevole l' utilizzo della nuvola da parte degli utenti, la Commissione Europea punta molto sulla standardizzazione e la governance globale del cloud, delegando all'ETSI (Istituto Europeo per gli Standard nelle Telecomunicazioni) lo sviluppo e il coordinamento di standard comuni e le relazioni con USA e Giappone, in vista di un'adozione di modelli uniformi sul piano della fiscalità dei servizi, della sicurezza e dei flussi di dati internazionale.

Sul fronte della protezione dei dati, la Commissione Europea dedica ben tre capitoli distinti alle questioni del diritto d'autore, della standardizzazione e delle sicurezza, con tanto di linee guida sull'applicazione del diritto europeo in materia di data protection, competenza giuridica e diritto applicabile.
Sull'aspetto della sicurezza occorre ricordare come recentemente in Italia sia intervenuta l'Autorità Garante per la protezione dei dati personali emanando le linee guida in materia di cloud computing. Secondo le linee guida, anzitutto occorre riconoscere il ruolo del Fornitore esterno mediante il rilascio di una apposita nomina a responsabile dei dati. La nomina ovviamente non può e non deve limitarsi ad essere un mero atto di formalizzazione ma deve avere contenuti atti a garantire al Titolare (colui che pone i dati in cloud) la presa in carico effettiva di oneri di protezione dei dati da parte del Fornitore. Ricordiamo che da sempre un principio razionale del Codice Privacy è stato quello di adottare un criterio da parte del Titolare, atto a garantire che le misure a protezione dei dati che dovrebbe attuare, in caso di esternalizzazione, siano garantite dal soggetto terzo che prende i dati in carico. Un aspetto singolare nelle linee guida è la precisazione che viene fatta dall'Autorità laddove indica necessario negoziare ma soprattutto ottenere le massime garanzie dal Fornitore anche se internazionale, senza poter addurre come esimente il fatto che i dati siano sottoposti all'estero a ben altra disciplina. La selezione del paese estero, se extraeuropeo, comporta l'onere di verificare preliminarmente la tipologia di normativa o comunque tutela che viene applicata dal paese di destinazione materiale per l'allocazione dei dati. L'adozione del sistema cloud poi non deve certo pregiudicare i diritti dell'interessato, dovendo pertanto essere onere del Titolare verificare costantemente disponibilità ed immediata reperibilità dei dati in caso di esercizio dei diritti di cui all'art. 7 del Codice privacy.

A parte le indicazioni delle linee guida, non dobbiamo dimenticare che pur dovendo garantire la sicurezza dei dati personali, è forse opportuno che il Titolare consideri che alla fine sono le informazioni aziendali nel loro complesso ad essere "esternalizzate" e quindi l'intervento di tutela non può e non deve arrestarsi all'ambito della privacy, ma deve necessariamente estendersi alle informazioni aziendali nella loro interezza.
Ecco quindi la necessità di analizzare bene il contratto standard che ci proporrà il Fornitore. Spesso il concetto di analisi si riduce a concludere che "questo è il loro contratto, possiamo farci poco". In realtà il concetto è riduttivo, in quanto nella fase di scelta del Fornitore una analisi un po' più approfondita potrà evitarci grosse magagne future.

Si pensi anzitutto alla fase di migrazione dei dati il giorno che interromperemo i rapporti con quel Fornitore: la mancata contemplazione di apposite clausole in merito a tempistiche, disponibilità dei dati, garanzie da perdite o danneggiamenti e non in ultimo, la mancanza di impegno da parte del Fornitore alla cancellazione dei dati in modo definitivo una volta migrati, non sono aspetti da tralasciare. Alcuni Fornitori internazionali ad esempio sono certificati 27001, e questo certamente la dice lunga sull'attenzione posta alle informazioni aziendali gestite in cloud.

L'altro aspetto da considerare è la verifica della destinazione geografica dei dati. ╚ vero che così ragionando si snatura il concetto di cloud, ma è anche vero che se ieri avessi appoggiato i miei dati in paesi oggi a rischio di guerre civili, o con regimi ad alto rischio, oggi probabilmente non dormirei sonni tranquilli. Consideriamo ad esempio che un conto è avere i dati in Europa, un conto è averli in location extra-europee, dovendo differenziare ad esempio tra Stati Uniti - dove vige il Safe Harbor - e paesi nei quali il concetto di proprietà dei dati è labile.

Insomma, il cloud è il futuro secondo molti, e ci sono ampie possibilità che questo sia vero, ma questa evoluzione non deve essere affrontata con leggerezza, né sotto il profilo formale giuridico né sostanziale nel controllare tutti i parametri di garanzia dovuti. In ambito europeo è per l'appunto all'analisi il famigerato Regolamento che andrà a disciplinare l'argomento privacy in modo meno formale e più sostanziale (e sostanzioso, a quanto sembra) ed uno degli argomenti centrali è proprio il cloud, consapevoli che il frazionamento normativo a livello europeo ormai non è più sostenibile.

Avv. Valentina Frediani
www.consulentelegaleinformatico.it
Notizie collegate
  • AttualitàAgenda Digitale e Open Data, la strada di ProfumoLa nuova "cabina di regia" esordirÓ giovedý: in agenda il digital divide. Una rivoluzione culturale chiesta alla PA e ai cittadini. E un'idea per il supporto alle startup del Belpaese
  • Diritto & InternetCloud e nuvoledi V. Frediani - Se l'Europa si sta muovendo, il nostro paese non Ŕ dotato di una normativa che abbracci tutti gli aspetti del cloud computing adottato su scala aziendale. Che garanzie legali cercare?
  • AttualitàAgenda Digitale, progresso indiscretoNel decreto Semplificazioni si parla di una cabina di regia per la digitalizzazione. La banda larga esce dalla porta per rientrare dalla finestra? Misure anche per instruzione ed e-government
24 Commenti alla Notizia Cloud computing, in attesa dell'Europa
Ordina
  • Nei giorni passati in TV ho visto la pubblicità della nuvola della Telecom, il messaggio pubblicitario diceva chiaramente che usando il cloud l'azienda avrebbe risparmiato i costi dell'IT.

    Per me l'informatica è una passione a livello amatoriale ma mi sembra strano che un azienda con cloud può tagliare i costi dell'IT, i dati comunque dovrebbero rimanere anche in locale per sicurezza... Forse per abbattere i costi dell'IT l'azienda dovrebbe avere tutto sulla nuvola senza server, infrastruttura locale ma sarebbe una pazzia e un rischio per i propri dati...

    So che tra i lettori di PI ci sono utenti che lavorano nell'IT, la mia opinione e da profano, chi lavora nell'IT di un azienda che ne pensa?
    non+autenticato
  • - Scritto da: becker
    > Nei giorni passati in TV ho visto la pubblicità
    > della nuvola della Telecom, il messaggio
    > pubblicitario diceva chiaramente che usando il
    > cloud l'azienda avrebbe risparmiato i costi
    > dell'IT.

    > Per me l'informatica è una passione a livello
    > amatoriale ma mi sembra strano che un azienda con
    > cloud può tagliare i costi dell'IT, i dati
    > comunque dovrebbero rimanere anche in locale per
    > sicurezza... Forse per abbattere i costi dell'IT
    > l'azienda dovrebbe avere tutto sulla nuvola senza
    > server, infrastruttura locale ma sarebbe una
    > pazzia e un rischio per i propri dati...

    > So che tra i lettori di PI ci sono utenti che
    > lavorano nell'IT, la mia opinione e da profano,
    > chi lavora nell'IT di un azienda che ne pensa?

    Che il cloud e' nato e cresciuto per fare spionaggio industriale e le aziende dovrebbero evitarlo come la peste.
    krane
    22544
  • - Scritto da: becker
    > Nei giorni passati in TV ho visto la pubblicità
    > della nuvola della Telecom, il messaggio
    > pubblicitario diceva chiaramente che usando il
    > cloud l'azienda avrebbe risparmiato i costi
    > dell'IT.

    Se intendono tutto l'IT mi pare un po' esagerato. Ma del resto cosa vuoi che sappia di informatica una compagnia di telecomunicazioni.

    > Per me l'informatica è una passione a livello
    > amatoriale ma mi sembra strano che un azienda con
    > cloud può tagliare i costi dell'IT, i dati
    > comunque dovrebbero rimanere anche in locale per
    > sicurezza...

    Non ne sono mica convinto. Io utilizzo una piattaforma che fornisce storage replicato in 3 copie e georeplicato su due datacenter. Una struttura del genere costerebbe una cifra a farsela in casa (sia per acquisto prodotti che per costi di gestione operativa). In locale al limite uno si fa delle copie di backup (sempre che non le faccia su cloud).

    > Forse per abbattere i costi dell'IT
    > l'azienda dovrebbe avere tutto sulla nuvola senza
    > server, infrastruttura locale ma sarebbe una
    > pazzia e un rischio per i propri
    > dati...

    Perchè sarebbe una pazzia? Pensi che i datacenter locali siano completamente sotto il tuo controllo? Questi dipendono dal vendor hardware, dal vendor software (anche se usi open source), dai sistemisti che spesso sono esterni (per le cose più complicate almeno).

    > So che tra i lettori di PI ci sono utenti che
    > lavorano nell'IT, la mia opinione e da profano,
    > chi lavora nell'IT di un azienda che ne
    > pensa?

    Il cloud è un modello (economico non tecnico) di provisioning di risorse. E' elastico e scalabile anche nel prezzo. Permette di partire con poco e crescere molto. Permette ad una piccola azienda l'utilizzo di sistemi che prima potevano essere usati solo dalle grosse aziende. Alla fine il cloud libera risorse.
    non+autenticato
  • - Scritto da: Zucca Vuota
    [...]
    > Ma del resto cosa vuoi che sappia di informatica
    > una compagnia di telecomunicazioni.

    Urca!

    Con questa sparata hai fatto onore al tuo nick !!

    A bocca aperta
  • sicurezza dei dati, cambio di fornitore e/o cambio di piattaforma, accessibilità ai dati e alle applicazioni... con il "claud" tutto diventa precotto e facile e veloce e NON si deve investire in IT interno... poi quando devi affrontare un qualsiasi cambiamento... incroci le dita!!
    non+autenticato
  • - Scritto da: jack
    > poi quando devi
    > affrontare un qualsiasi cambiamento... incroci le
    > dita!!

    Anche quando è fatto tutto internamente incroci le dita.

    Il problema del cloud è ad esempio è questo: aggiornano la versione php, ti avvisano anche due settimane prima, però l'upgrade lo fanno sia che tu lo voglia o no.
    non+autenticato
  • Il successo del cloud si vede anche dalla quantità dei commenti alla notizia.
    Non si arrendono!!
    Vanno avanti con questo modo completamente sbagliato per il momento!
    non+autenticato
  • > sbagliato per il
    > momento!

    dove in Italia? Allora si hai ragione.
    non+autenticato
  • - Scritto da: Gianfranco
    > > sbagliato per il
    > > momento!
    >
    > dove in Italia? Allora si hai ragione.

    Infatti come si fa a dire che non sia un successo perché ci sono pochi commenti qui?
    In America ci sono citi che hanno centinaia di milioni di visitatori che usano il cloud.
    non+autenticato
  • - Scritto da: Dottor Stranamore
    > - Scritto da: Gianfranco
    > > > sbagliato per il
    > > > momento!
    > >
    > > dove in Italia? Allora si hai ragione.
    >
    > Infatti come si fa a dire che non sia un successo
    > perché ci sono pochi commenti
    > qui?
    > In America ci sono citi

    *siti
    non+autenticato
  • - Scritto da: Dottor Stranamore
    > In America ci sono citi che hanno centinaia di
    > milioni di visitatori che usano il
    > cloud.

    Che avrà voluto dire?
    ruppolo
    33147
  • - Scritto da: ruppolo
    > - Scritto da: Dottor Stranamore
    > > In America ci sono citi che hanno centinaia
    > di
    > > milioni di visitatori che usano il
    > > cloud.
    >
    > Che avrà voluto dire?

    http://punto-informatico.it/b.aspx?i=3572973&m=357...
    Credo volesse dire che in america ci sono tanti siti che usano il cloud
    -----------------------------------------------------------
    Modificato dall' autore il 31 luglio 2012 13.42
    -----------------------------------------------------------
    8080
    1236
  • - Scritto da: ruppolo
    > - Scritto da: Dottor Stranamore
    > > In America ci sono citi che hanno centinaia
    > di
    > > milioni di visitatori che usano il
    > > cloud.
    >
    > Che avrà voluto dire?

    C'era una c al posto della s e mi sono corretto subito dopo. Non mi sembra così difficile da capire.
    non+autenticato
  • - Scritto da: Dottor Stranamore
    > Infatti come si fa a dire che non sia un successo
    > perché ci sono pochi commenti
    > qui?
    > In America ci sono citi che hanno centinaia di
    > milioni di visitatori che usano il
    > cloud.

    Anche io lo uso, però non è tutto oro quello che luccica. Specie in termini di scalabilità, quando passi un certo livello rischi di essere nella cacca.
    8080
    1236
  • - Scritto da: 8080

    > Anche io lo uso, però non è tutto oro quello che
    > luccica. Specie in termini di scalabilità, quando
    > passi un certo livello rischi di essere nella
    > cacca.

    Uno dei vantaggi delle soluzioni cloud rispetto a quelle on premise è la scalabilità. Ovvio che bisogna sapere progettare le applicazioni.
    non+autenticato
  • - Scritto da: Zucca Vuota
    > Uno dei vantaggi delle soluzioni cloud rispetto a
    > quelle on premise è la scalabilità. Ovvio che
    > bisogna sapere progettare le
    > applicazioni.

    Lo so che è la scalabilità il vantaggio, ma tipo con Rackspace se arrivi oltre un certo limite ti attacchi al tram.
    8080
    1236
  • - Scritto da: 8080

    > Lo so che è la scalabilità il vantaggio, ma tipo
    > con Rackspace se arrivi oltre un certo limite ti
    > attacchi al
    > tram.

    Rackspace non lo conosco. Qual'è il limite?

    Al momento sto usando Azure e i suoi servizi PAAS (non IAAS). Non ho trovato limiti pratici.
    non+autenticato
  • Vorrei tanto usare PGP nella corrispondenza email, quanto altri protocolli cifrati per l'instant messaging, tuttavia in questi casi di utilizzo il problema è la compliance dei terzi, cioè le persone con cui devi interagire e che non puoi obbligare a usare i tuoi stessi mezzi.
    Però se i dati sono i tuoi, e li usi te, non devi dipendere dalla compliance di terzi per l'uso di tecnologie per quanto di nicchia, ma dipende solo da te.
    Che sia dropbox, o qualunque altro servizio, usare truecrypt o meglio encfs, che funziona anche su windows tramite dokan, è immediato una volta ingranato il meccanismo.

    Il problema diventa insormontabile quando "cloud" non è più solo storage, ma anche elaborazione... e in quel caso purtroppo, non c'è modo di forzare la crittografia a meno che non sia offerta dal fornitore, e pure in quel caso devi fidarti di come il fornitore la implementa...
  • - Scritto da: ephestione
    > Vorrei tanto usare PGP nella corrispondenza
    > email, quanto altri protocolli cifrati per
    > l'instant messaging, tuttavia in questi casi di
    > utilizzo il problema è la compliance dei terzi,
    > cioè le persone con cui devi interagire e che non
    > puoi obbligare a usare i tuoi stessi
    > mezzi.

    Questo accade solo per l'Italia, che invece di usare i sistemi che usa il mondo intero (i certificati standard) si è inventata un carrozzone con firme digitali e trabiccoli lettori di smart card. Un carrozzone che inevitabilmente finirà al macero quanto prima.
    ruppolo
    33147
  • ma firma digitale e pec anche se obbrobri tutti italiani mica c'entrano nulla con la crittografiaSorride
  • - Scritto da: ephestione
    > ma firma digitale e pec anche se obbrobri tutti
    > italiani mica c'entrano nulla con la crittografia
    >Sorride

    Ho provato a informarmi sulla PEC in questi giorni e sono rimasto deluso. Pensavo certificasse anche il contenuto, invece come la raccomandata A/R certifica solo la data di spedizione. Anche con la raccomandata uno può mandare una busta vuota, però con la PEC speravo ci fossero dei vantaggi in più.
    Inoltre una raccomandata devi firmare per ritirarla. Con la PEC no, quindi devi controllare la posta tutti i giorni, perché se non stai attento rischi di trovarti bollette non pagate o contestazioni varie che hanno valore legale.

    Poi ti devi abbonare a un servizio offerto da un'azienda e siccome ti può arrivare una raccomandata a quell'indirizzo anche tra diversi anni poi devi rimanere legato a quell'indirizzo mail per tutta la vita o quasi (anche se puoi mandare disdetta, però se un'azienda tra 20 mesi ti fa causa e ti scrive a quell'indirizzo? Boh)

    Infine i gestori archiviano le mail e i certificati solo per 30 mesi. Quindi da lì in poi ci devi pensare tu. Io preferisco un foglio stampato che dover tenere dei file per tanti anni su dei supporti.
    -----------------------------------------------------------
    Modificato dall' autore il 31 luglio 2012 13.57
    -----------------------------------------------------------
    8080
    1236
  • già... aborto tutto italiota, penso la stessa cosa, c'erano almeno 2 alternative internazionalmente ricoosciute per ottenere lo stesso scopoTriste
  • - Scritto da: ephestione
    > Vorrei tanto usare PGP nella corrispondenza
    > email, quanto altri protocolli cifrati per
    > l'instant messaging, tuttavia in questi casi di
    > utilizzo il problema è la compliance dei terzi,
    > cioè le persone con cui devi interagire e che non
    > puoi obbligare a usare i tuoi stessi
    > mezzi.

    Io l'ho fatto finché con gmail per un po' di tempo utilizzando un addon di firefox per criptare la posta. Ma poi questo addon è stato disattivo perché ogni volta che gmail faceva degli aggiornamenti smetteva di funzionare.
    8080
    1236